disable_functions = phpinfo,chroot,chown,chmod,system,shell_exec,passthru,exec,assert,pcntl_exec,proc_open,``,phpfunc,proc_get_status,chgrp,popen,get_cfg_var
; ###################### 禁用的危险函数 BEGIN #######################################################unlink,readdir,
;disable_functions = phpinfo
;执行提权命令类,chroot,chgrp,chown,ini_set,ini_alter,ini_restore,get_cfg_var popen
;执行系统命令类,exec,passthru,system,shell_exec,popen,
;探测信息路径类,phpinfo,chroot,proc_get_status,
;执行越权写入类,proc_open,error_log,dl,pfsockopen,syslog,readlink,symlink,stream_socket_server,putenv

修改php.ini的open_basedir防止跨目录



open_basedir = "c:\WWW;C:\Windows\Temp;C:\Users\APACHE~1.IZ2\AppData\Local\Temp;"



参考文献

(3) open_basedir: 将用户可操作的文件限制在某目录下; 
——————————————————————————– 
如下是php.ini中的原文说明以及默认配置: 
; open_basedir, if set, limits all file operations to the defined directory 
; and below. This directive makes most sense if used in a per-directory or 
; per-virtualhost web server configuration file. This directive is 
; *NOT* affected by whether Safe Mode is turned On or Off. 
open_basedir = . 

open_basedir可将用户访问文件的活动范围限制在指定的区域，通常是其家目录的路径，也可用符号”.”来代表当前目录。注意用open_basedir指定的限制实际上是前缀,而不是目录名。 
举例来说: 若”open_basedir = /dir/user”, 那么目录 “/dir/user” 和 “/dir/user1″都是可以访问的。所以如果要将访问限制在仅为指定的目录，请用斜线结束路径名。例如设置成: 
“open_basedir = /dir/user/” 

open_basedir也可以同时设置多个目录, 在Windows中用分号分隔目录,在任何其它系统中用冒号分隔目录。当其作用于Apache模块时，父目录中的open_basedir路径自动被继承。 

有三种方法可以在Apache中为指定的用户做独立的设置: 
(a) 在Apache的httpd.conf中Directory的相应设置方法: 
<Directory /usr/local/apache/htdocs> 
php_admin_value open_basedir /usr/local/apache/htdocs/ 
#设置多个目录可以参考如下: 
php_admin_value open_basedir /usr/local/apache/htdocs/:/tmp/ 
</Directory> 

(b) 在Apache的httpd.conf中VirtualHost的相应设置方法: 
php_admin_value open_basedir /usr/local/apache/htdocs/ 
#设置多个目录可以参考如下: 
php_admin_value open_basedir /var/www/html/:/var/tmp/ 

(c) 因为VirtualHost中设置了open_basedir之后, 这个虚拟用户就不会再自动继承php.ini中的open_basedir设置值了,这就难以达到灵活的配置措施, 所以建议您不要在VirtualHost 中设置此项限制. 例如,可以在php.ini中设置open_basedir = .:/tmp/, 这个设置表示允许访问当前目录(即PHP脚本文件所在之目录)和/tmp/目录. 

请注意: 若在php.ini所设置的上传文件临时目录为/tmp/, 那么设置open_basedir时就必须包含/tmp/,否则会导致上传失败. 新版php则会提示”open_basedir restriction in effect” 警告信息, 但move_uploaded_file()函数仍然可以成功取出/tmp/目录下的上传文件,不知道这是漏洞还是新功能. 
————————————————
版权声明：本文为CSDN博主「sinat_36001828」的原创文章，遵循CC 4.0 by-sa版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/sinat_36001828/article/details/79198043
<?php
